Privacy 2.0: verschuivingen in het compliancelandschap begrijpen
Inhoudsopgave:
De vooruitgang van kunstmatige intelligentie (AI), verbonden apparaten en andere technologieën heeft geleid tot een data-explosie. In feite is dat zo geschat dat de wereld momenteel elke dag bijna 330 miljoen terabytes creëert.
Door deze schat aan gegevens te verzamelen en te gebruiken, kunnen bedrijven hun klanten beter begrijpen en targeten, en uiteindelijk hun bedrijfsstrategieën en productaanbod verbeteren. Naarmate de gegevensverzameling toeneemt, ondernemen overheden echter stappen om deze te beschermen door middel van nieuwe wetgeving. Terwijl zij dit doen, worden kwesties als de transparantie, portabiliteit en verwijdering van gegevens belangrijke prioriteiten voor moderne bedrijven, waarbij gegevensmisbruik hen het risico op hoge boetes en reputatieschade met zich meebrengt.
Naarmate het technologielandschap zich blijft ontwikkelen, zullen ook de regelgeving en richtlijnen voor gegevensbescherming veranderen.
De mondiale wetgeving inzake gegevensbescherming is aan het veranderen
De komende maanden kunnen bedrijven veranderingen verwachten in een aantal mondiale regelgeving op het gebied van gegevensbescherming, waaronder de California Consumer Privacy Act (CCPA) in de VS, de Algemene Verordening Gegevensbescherming (AVG) in Europa en de Wet op de Bescherming van Persoonsgegevens (PIPL) in China.
De California Privacy Protection Agency heeft deze maand een speciale website waar burgers meer te weten kunnen komen over hun privacyrechten. Greg Clark, directeur productmanagement bij OpenText Cybersecurity, verwacht dat het bureau het aanbod zal blijven verhogen gegevensprivacyrechten van burgers door de implementatie van “strengere regels voor het gebruik van persoonlijke gegevens en aanvullende verplichtingen voor het uitvoeren van risicobeoordelingen en cyberveiligheidsaudits”.
Er zijn ook grote veranderingen op het gebied van de privacy van gegevens op komst in Europa. Clark voorspelt dat wetgevers de AVG zullen uitbreiden zodat deze “diepere wortels heeft rond gegevensbescherming, internationale gegevensoverdrachten en harmoniserende handhavingsmaatregelen”.
Een andere grote verandering in de AVG zal de formalisering van de ePrivacy-verordening (ePR) zijn, die volgens Clark zal helpen de privacy van individuen te beschermen in de context van elektronische communicatie.
Europese wetgevers gaan ook door met hun AI-wet. Tim Wright, partner bij Fladgate LLP, is van mening dat de nieuwe wet “privacyrichtlijnen en best practices voor AI-systemen, gezichtsherkenning en digitale ID’s in Europa aanzienlijk zal vormgeven”. Best practices voor deze oplossingen zullen zich waarschijnlijk richten op toestemming, toegangscontrole en dataminimalisatie, voegt hij eraan toe.
Sinds het verlaten van de EU wil Groot-Brittannië afstand nemen van de AVG door zijn eigen regelgeving voor gegevensbescherming te ontwikkelen. Koning Karel geschetst de plannen van de regering voor een wet op gegevensbescherming en digitale informatie (DPDI).
Andrew Bridges, DQ & governance manager bij Sagacity, legt aan ISMS.online uit: “Het wetsvoorstel moet een duidelijk, bedrijfsvriendelijk raamwerk introduceren dat de belangrijkste elementen van de Britse AVG omvat, en organisaties meer vertrouwen geven over hoe en wanneer ze persoonlijke informatie kunnen verwerken. en of toestemming vereist is.”
China heeft ook een robuust gegevensbeschermingsregime ontwikkeld in de vorm van de Personal Information Protection Law (PIPL), de Data Security Law (DS) en de Cyber Security Law (CSL). Volgens Clark van OpenText is het belangrijkste doel van deze wetten het beschermen van de rechten van betrokkenen in heel China.
Maar een ander voornemen van de Chinese overheid bij het opstellen en handhaven van deze wetten zal waarschijnlijk de gegevensstroom verbeteren om “te helpen bij internationale gegevensoverdrachten, het veilige gebruik van gegevensuitwisseling in het algemeen te [garanderen] en de gehele gegevenslevenscyclus te beheren, van verzameling tot verwijdering”, hij voegt toe.
Verbetering van gebruikersrechten
Als het gaat om het creëren van nieuwe gegevensbeschermingswetten en het ontwikkelen van bestaande wetgeving, lijken overheden zich te concentreren op gebieden als gegevenstransparantie, portabiliteit en verwijdering.
Wat datatransparantie betreft, legt Protegrity VP, Alasdair Anderson, uit dat wetgevers het belang benadrukken van “duidelijke, toegankelijke informatie over hoe persoonlijke gegevens worden gebruikt”.
Er wordt nu meer verwacht dat organisaties de transparantie zullen verbeteren over de manier waarop zij met gegevens omgaan en gebruiken. Veel organisaties ondernemen stappen zoals het verstrekken van privacyverklaringen en openbaarmakingen over het verzamelen en gebruiken van gegevens, als onderdeel van een “doorlopend operationeel proces met bijbehorende kostenoverhead”, legt Anderson uit.
Hij vertelt ISMS.online dat wetgevers het ook gemakkelijker maken voor mensen om hun gegevens tussen dienstverleners te verplaatsen. Dit heeft de interoperabiliteit tussen diensten verbeterd en gebruikers meer controle over hun gegevens gegeven. Dergelijke trends kunnen “een convergentie veroorzaken in de normen voor gegevensuitwisseling, opslag en misschien zelfs privacybescherming”, stelt Anderson.
Hoewel datatransparantie en portabiliteitsrechten de afgelopen tijd een lange weg hebben afgelegd, geeft Anderson toe dat het recht op gegevensverwijdering een aanzienlijke uitdaging blijft voor volwassen bedrijven met gedistribueerde infrastructuur en processen.
“Kosteneffectieve operationele uitvoering kan alleen worden bereikt door een geavanceerde technologische benadering van data- en privacybeheer”, legt hij uit. “Het alternatief, dat niet ongehoord is, is dat het personeel aanzienlijke middelen besteedt aan het proberen gebruikersinformatie te lokaliseren.”
Hoe normen kunnen helpen
Voor organisaties die continue naleving van de veranderende regelgeving op het gebied van gegevensbescherming willen garanderen en de gegevensbeveiliging willen verbeteren, kan het adopteren van een erkende industriestandaard zoals ISO 27701 een goede eerste stap zijn.
Clark van OpenText moedigt organisaties aan om de standaard te volgen, omdat deze hen “een basislijn voor verbeterde gegevensprivacy” zal bieden. Hij beschrijft het als een verlengstuk van ISO 27001 die “specifieke controles” voor de bescherming van persoonsgegevens instelt.
“Het creëert een gemeenschappelijk raamwerk dat helpt bij het waarborgen van de naleving van regelgeving op het gebied van gegevensprivacy, zoals de AVG en CCPA, waardoor de risico’s van het beheer van persoonlijke gegevens worden beperkt en het vertrouwen bij externe en interne belanghebbenden wordt versterkt”, legt hij uit.
Naarmate de online veiligheidsdreigingen toenemen, wordt de implementatie van ISO 27701 kan organisaties ook helpen de cyberbeveiliging te versterken. Clark zegt dat dit mogelijk is omdat ISO 27701 “praktijken uiteenzet voor het identificeren en proactief beoordelen van risico’s en kwetsbaarheden”.
Door dit te doen, zou het bedrijven kunnen helpen de kans op financieel verlies, reputatieschade en downtime als gevolg van datalekken te verkleinen, en de algehele efficiëntie van de bedrijfsvoering te verbeteren.
“De implementatie van ISO 27701 helpt bij het stroomlijnen van de procedures voor gegevensverwerking en het optimaliseren van het resourcebeheer voor gegevensbescherming. Het vertaalt zich in kostenbesparingen en verbeterde operationele efficiëntie in een organisatie”, voegt hij eraan toe.
Voordat ze ISO 27701 adopteren, adviseert Clark organisaties om de vereisten van de norm te herzien en eventuele hiaten in hun datapraktijken te identificeren. Dit zal hen in staat stellen een compliance-roadmap te creëren, synergieën in de cyberbeveiligingspraktijk te ontdekken en automatiseringstechnologieën te benutten.
Gegevensverzameling heeft enorme voordelen voor bedrijven, maar zonder de juiste waarborgen en beleid kan het ook een enorm bedrijfsrisico met zich meebrengen. Om gegevens op een ethisch en verantwoorde manier te gebruiken, moeten bedrijven de risico's begrijpen en voldoen aan de regelgeving in de sector. Het is duidelijk dat ISO 27701 dit veel eenvoudiger maakt.
Succes ontsluiten: een gids voor de implementatie van ISO 27701
We hebben een praktische routekaart van één pagina gemaakt, opgesplitst in vijf belangrijke aandachtsgebieden, voor het benaderen en bereiken van ISO 27701 in uw bedrijf. U hoeft geen formulier in te vullen. Download de pdf vandaag nog als eenvoudige start op weg naar effectievere gegevensprivacy.
